SQL Injection

Ein Angriff, bei dem schädlicher SQL-Code in Formulareingaben oder URLs eingefügt wird, um unbefugten Zugriff auf eine Datenbank zu erhalten. SQL-Injection ermöglicht Angreifern, durch unsichere String-Konkatenation in SQL-Abfragen unautorisiert Daten abzufragen (SELECT), zu manipulieren (INSERT, UPDATE, DELETE) oder Admin-Rechte zu erlangen. Taktiken umfassen time-based blind, error-based und union-based SQLi. Angreifer nutzen etwa Eingaben wie OR 1=1;–, um Authentifizierungschecks zu umgehen. Schutzmaßnahmen bestehen in parametrisierten Queries (Prepared Statements), Stored Procedures, ORM-Frameworks (z. B. Hibernate, Entity Framework) und striktem Escaping von Benutzereingaben. Regelmäßige DAST-Scans mit Tools wie SQLMap, Burp Suite und automatisierte Code-Reviews identifizieren potentielle Schwachstellen. Logging und Intrusion Detection Systeme (IDS) alarmieren bei verdächtigen Datenbank-Aktivitäten.